notizia

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

IT House ha riferito il 22 agosto che il media tecnologico darkreading ha pubblicato un post sul blog ieri (21 agosto), segnalando che Microsoft Copilot Studio presenta una vulnerabilità di sicurezza SSRF (server-side request forgery) che può far trapelare dati sensibili sul cloud.

Introduzione a Microsoft Copilot Studio

IT Home allega la presentazione ufficiale di Microsoft come segue:

Copilot Studio è una piattaforma di intelligenza artificiale conversazionale end-to-end che ti consente di creare e personalizzare assistenti utilizzando il linguaggio naturale o interfacce grafiche.

Utilizzando Copilot Studio, gli utenti possono facilmente progettare, testare e rilasciare per soddisfare le esigenze di scenari interni o esterni.

scappatoie

I ricercatori hanno sfruttato una vulnerabilità nello strumento Copilot Studio di Microsoft per effettuare richieste HTTP esterne, accedendo così a informazioni sensibili sui servizi interni nell'ambiente cloud e con un potenziale impatto su più tenant.

I ricercatori di Tenable hanno scoperto una vulnerabilità SSRF (server-side request forgery) in uno strumento di creazione di chatbot, che hanno sfruttato per ottenere l'accesso all'infrastruttura interna di Microsoft, incluso Instance Metadata Service (IMDS) e istanze interne di Cosmos DB.

La vulnerabilità viene tracciata da Microsoft come CVE-2024-38206 Secondo l'avviso di sicurezza relativo alla vulnerabilità, un utente malintenzionato autenticato può aggirare la protezione SSRF in Microsoft Copilot Studio e diffondere informazioni sensibili basate sul cloud sulla rete.